Vulnerabilidad en la aplicación Visual Voice Mail (VVM) para Android (CVE-2022-23835)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/02/2022
Última modificación:
03/08/2024
Descripción
** EN DISPUTA ** La aplicación Visual Voice Mail (VVM) versiones hasta el 2022-02-24 para Android, permite un acceso persistente si un atacante controla temporalmente una aplicación que presenta el permiso READ_SMS, y lee un mensaje de credenciales IMAP que (por diseño) no es mostrado a la víctima dentro de la aplicación de mensajería AOSP SMS/MMS. (A menudo, las credenciales IMAP pueden usarse para escuchar los mensajes de correo de voz enviados antes de que sea explotada la vulnerabilidad, además de los nuevos). NOTA: algunos vendedores caracterizan esto como un "riesgo concreto y explotable".<br />
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:visual_voice_mail_project:visual_voice_mail:*:*:*:*:*:android:*:* | 2022-02-24 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página